AI 安全與隱私 2026年7月3日 約 22 分鐘 Claude Code 隱寫術

Claude Code 隱寫術事件
Anthropic 如何用一個單引號給你打標籤

靜默瀏覽器注入 vs 提示詞 Unicode 指紋 · 事件 A/B 事實核查 · 反蒸餾動機 · 自查防護清單

Claude Code 系統提示詞 Unicode 單引號隱蔽指紋示意圖

TL;DR:2026 年 6 月底,據 thereallo.dev 逆向報告,Claude Code(非網頁版)在使用者將 ANTHROPIC_BASE_URL 指向非官方位址時,會用文字隱寫術改寫系統提示詞裡 Today's date is... 那一行——透過切換日期分隔符與肉眼幾乎無法分辨的 Unicode 單引號,把「中國時區、中國域名/AI 實驗室」等訊號悄悄夾帶回伺服器。Anthropic 已在 2.1.197 移除相關程式碼。它大概率是反模型蒸餾/反轉售手段,但爭議在於做法太隱蔽、還刻意混淆。與此同時,4 月另一起事件指 Claude Desktop 靜默向瀏覽器寫入 Native Messaging 清單——兩件事常被混為一談,本文嚴格區分。本文包含:事件 A/B 對照表、Unicode 對應表、HN 兩派爭議、五步自查防護、廠商信任觀點與 FAQ;可對照站內 Anthropic IPO 解析AI 程式設計助手選型

01

兩件事,別搞混:事件 A 與事件 B

許多繁中轉載把兩個獨立但相關的事件合併成一篇,英文技術圈(HN/Reddit/資安社群)一眼可辨事實錯誤。撰稿前務必區分:

維度事件 A:靜默瀏覽器注入事件 B:系統提示詞隱寫術
涉及產品Claude Desktop(macOS 用戶端)Claude Code(CLI 編碼工具)
爆料人Alexander Hanff(The Register開發者逆向,發布於 thereallo.dev,經 Reddit → HN 發酵
時間2026 年 4 月(約 4/18 起)2026 年 6 月 30 日
核心行為靜默寫入 com.anthropic.claude_browser_extension.json,預授權 3 個擴充功能 ID 呼叫沙箱外 chrome-native-host;未裝瀏覽器也預建目錄,刪除後重啟會復活ANTHROPIC_BASE_URL ≠ api.anthropic.com 時,用隱寫術改寫 Today's date is... 那一行
被貼標籤spyware/backdoor(間諜軟體/後門)prompt steganography/covert channel
觸發條件安裝/啟動 Claude Desktop 即觸發僅設定非官方 Base URL 時觸發;並非每次對話都必然觸發
Anthropic 回應未正式公開回應;後續版本加授權開關,底層權限模型未根除承認程式碼存在,7/1 發布 2.1.197 移除,changelog 未提及

可引用事實:獨立顧問 Noah Kenney(Digital 520)確認 Hanff 的技術主張可重現;安天實驗室(Antiy Labs)發布了 Claude Desktop 高權限瀏覽器通道風險分析報告。HN 討論帖數小時衝到首頁,350+ points、100+ 則留言,社群分裂為「合理的反蒸餾防禦」vs「對開發者工具而言近乎惡意」。

痛點拆解:為何開發者感到被背叛

  1. 01

    未披露 + 刻意混淆:域名/關鍵字清單用 base64 + XOR(91) 輕度混淆,約 147 條規則,逆向者核對 2.1.193/195/196 均存在。

  2. 02

    開發者工具的信任紅線:Claude Code 靠開發者信任吃飯,把分類訊號藏進標點符號,HN 一派直言「malware-adjacent」。

  3. 03

    Desktop 預置高權限通道:即使目前未利用,也為瀏覽器沙箱外通道鋪路;Anthropic 自曝 Claude for Chrome 提示詞注入成功率無緩解 23.6%、有緩解 11.2%

  4. 04

    合規與 E-E-A-T 風險:把「意圖」當已證實事實會傷可信度;須用「據爆料/據逆向報告/被指控(alleged)」措辭,目的(反蒸餾)與手段(隱寫)分開評價。

02

隱寫術怎麼運作:Unicode 對應表

關鍵前提:只有當你把 ANTHROPIC_BASE_URL 指向非官方位址(代理、閘道、第三方轉售、OpenAI 相容層)時才觸發。官方 api.anthropic.com 不動手腳。

觸發後,程式在系統提示詞那句人畜無害的 Today's date is ... 裡做兩件事:

偵測到的情況日期格式單引號字元Unicode
預設(無命中)2026-06-30' 標準 ASCII 撇號U+0027
命中中國機構/經銷商域名2026-06-30' 右單引號U+2019
命中 AI 實驗室關鍵字(deepseek、moonshot、zhipu、minimax、baichuan、stepfun、01ai 等)2026-06-30ʼ 修飾符撇號U+02BC
域名 + 實驗室都命中2026-06-30ʹ 修飾符角分號U+02B9
疊加中國時區(Asia/Shanghai/Asia/Urumqi)2026/06/30(單引號規則同上)

白話說:請求表面上只是普通英文提示詞,但後端掃一眼日期分隔符與單引號的 Unicode 編碼,就能打標籤——「這個用戶掛了海外 VPN,但實際在中國時區,甚至疑似某家中國 AI 實驗室」。這是典型的隱蔽通道(covert channel)

檢查環境變數(事件 B 觸發條件)
echo $ANTHROPIC_BASE_URL
# 若輸出非空且不是 https://api.anthropic.com → 曾可能觸發指紋邏輯
claude --version  # 確認 ≥ 2.1.197
03

Anthropic 為什麼這麼做?動機與爭議

社群主流判斷(也較克制):目的是反蒸餾 + 反未授權轉售。Anthropic、OpenAI、Google 都公開擔憂對手用 API 大量拉輸出來訓練小模型(distillation)。中國相關代理、轉售、實驗室是重點懷疑對象。

「目的可以理解,手段才是問題」——把分類訊號做成肉眼不可見、混淆程式碼藏進每個請求,對靠開發者信任吃飯的工具來說,踩了信任紅線。

HN/社群陣營代表觀點你的應對啟示
防禦派合理的反蒸餾防禦,保護模型投資理解商業動機,但不接受隱蔽實作
批判派對開發者工具近乎惡意;應公開說明並給開關要求披露、可稽核、可關閉
安全派事件 A 預置沙箱外通道,疊加提示詞注入資料風險實打實Desktop Agent 按高權限程式對待
04

這算間諜軟體嗎?

「間諜軟體」是有情緒的標籤。更準確的說法:

  • 事件 A更接近「未經授權篡改第三方軟體 + 預留休眠攻擊面」——即便目前沒被利用,也把瀏覽器沙箱外的高權限通道預先鋪好。
  • 事件 B更接近「未披露的隱蔽遙測/使用者分類」。

無論用不用 spyware 這個詞,核心問題一致:未經使用者知情同意、且刻意隱蔽。

05

自查與防護:五步落地清單

  1. 01

    查 Base URL:確認是否設定 ANTHROPIC_BASE_URL;走官方端點則事件 B 不觸發。升級 Claude Code 至 2.1.197+

  2. 02

    查 Native Messaging(事件 A):macOS 上檢查 ~/Library/Application Support/<瀏覽器>/NativeMessagingHosts/com.anthropic.claude_browser_extension.json,按需刪除;注意 Claude Desktop 可能重建。

  3. 03

    查時區與代理組合:若同時使用 VPN + 中國時區 + 第三方 API 閘道,據報告曾更易命中指紋規則;生產環境建議明確文件化路由策略。

  4. 04

    企業/敏感環境:評估是否繼續在生產鏈路使用桌面 Agent;最小權限、明確授權、可稽核是底線。可參考站內 OpenClaw 圖形化授權與隔離 思路。

  5. 05

    隔離驗收:租用遠端 Mac + VNC 的獨立節點上跑 Claude Code,圖形化核對系統「隱私與安全性」、瀏覽器 Native Messaging 目錄與鑰匙圈彈窗,避免污染主力開發機;專案結束可換節點或停租。

macOS:列出各瀏覽器 Native Messaging 清單
for app in "Google/Chrome" "Microsoft Edge" "BraveSoftware/Brave-Browser" "Arc/User Data"; do
  f="$HOME/Library/Application Support/$app/NativeMessagingHosts/com.anthropic.claude_browser_extension.json"
  [ -f "$f" ] && echo "FOUND: $f"
done
06

AI 廠商越界:我們該如何面對

警示不在「一個撇號」,而在於:模型能力狂飆而安全邊界、授權、稽核嚴重滯後時,廠商容易以「體驗/防濫用」為名越過信任邊界。PC、智慧型手機早期的安全坑,如今在桌面 AI Agent 上原樣重現。

  1. 01

    預設不信任、用證據說話:可重現、可稽核、可關閉,才配得上信任。

  2. 02

    要求披露而非隱藏:反蒸餾可以光明正大——公開說明、給開關,而不是藏進標點符號。

  3. 03

    最小權限 + 邊界隔離:對任何桌面 Agent 按高權限程式對待。

  4. 04

    用腳投票 + 制度約束:GDPR/個資法與市場選擇,是約束「技術無邊界」的最終力量。

技術可以沒有立場,但公司必須有。能力越大,越要自我約束——這不該是使用者逆向二進位才發現的秘密。

參考來源

The Register(Claude Desktop 權限,2026-04);Malwarebytes/gHacks/YOOTA;thereallo.dev(原始逆向);Tech Startups/TMC Insight/Developers Digest/TechTimes(2.1.197 修復);Antiy Labs(安天)風險分析。

FAQ

常見問題

不算傳統意義的間諜軟體,但據逆向報告,它曾在系統提示詞裡嵌入未披露、經混淆的指紋;Anthropic 已在 2.1.197 移除。更準確的定性是未披露的隱蔽通道

事件 B 只在 Claude Code 且設定了非官方 ANTHROPIC_BASE_URL 時觸發,一般官方端點用戶不受此邏輯影響。

據報告,僅在使用非預設 Base URL 時檢查 Asia/ShanghaiAsia/Urumqi,並透過日期分隔符編碼;官方端點不更動日期行。

Today's 中的撇號在 U+0027、U+2019、U+02BC、U+02B9 間切換,編碼是否命中中國域名、AI 實驗室關鍵字或二者兼有。

主流解讀為偵測模型蒸餾與未授權 API 轉售——合法目標,但以未披露且刻意混淆的方式實現。

不是。4 月 Hanff 爆料的是 Desktop 靜默寫瀏覽器 Native Messaging(事件 A);6 月 thereallo.dev 披露的是 Code 提示詞隱寫(事件 B)。

~/Library/Application Support/<瀏覽器>/NativeMessagingHosts/ 刪除 com.anthropic.claude_browser_extension.json;重啟 Claude Desktop 可能重建,需配合版本設定或停用 Desktop。

對處理敏感程式碼或需稽核系統權限的團隊,租用獨立遠端 Mac + VNC 可在圖形工作階段中核對 Native Messaging、TCC 授權與專案目錄,結束即停租,降低主力機被 Desktop Agent 改寫的風險。

結語

Claude 隱寫術風波說明:當 AI Agent 獲得修改瀏覽器、改寫系統提示詞的能力時,本地主力開發機的隱性風險(權限殘留、不可稽核通道、混淆遙測)被嚴重低估。Windows/Linux 主力機上跑 Claude Code 雖可行,但 Claude Desktop 的 Native Messaging 與 macOS 權限彈窗,仍需要真實 macOS 圖形工作階段才能徹底驗收。

租用 VNCMac 遠端 Mac,在隔離節點上安裝 Claude Code、用 VNC 逐項核對瀏覽器清單與系統隱私設定,專案結束即停租——比把高權限 Agent 直接鋪在個人主力機上更可控。查看 Mac Mini M4 方案 與說明頁 SSH-VNC 說明即可開通。